OWASP依赖关系检查确定错误的工件

时间:2016-08-30 07:25:16

标签: maven maven-plugin owasp

我在多模块项目中使用Maven PluginOWASP Dependency Check

有一个模块包含artifactId “链接”和另一个(我称之为“war”)模块,该模块依赖于此模块。两者都有groupId “de.mygroup”

当我现在运行mvn dependency-check-maven:check时,我收到以下警告:

links-5.0.0-SNAPSHOT.jar (cpe:/a:hot_links:hot_links:5.0.0, cpe:/a:links:links:5.0.0, de.mygroup:links:5.0.0-SNAPSHOT) : CVE-2006-7086

正如我理解这个警告,这是误报,因为依赖性检查只查找artifactId而不管groupId。这是对的吗?

我能做些什么来告诉插件我正在使用哪一个?但我认为它应该自动确定。

我查看了maven插件的源代码并在BaseDependencyCheckMojo.java:652中找到了dependencyNode.getArtifact().getId()但是这应该返回工件的完整的quallified坐标。所以我不明白为什么它会找到多个“候选人”然后用来搜索漏洞。

有什么建议吗?

编辑:我刚刚使用当前的master from GitHub进行了测试,因为我已经看到确定依赖项时会有一些变化。上面的警告现在消失了。 但我有第三个模块artifactId “indesign”(以及groupId “de.mygroup”)为此,我得到了这个警告:

indesign-5.0.0-SNAPSHOT.jar (cpe:/a:adobe:indesign:5.0.0, de.mygroup:indesign:5.0.0-SNAPSHOT) : CVE-2006-0525

我认为这是同样的问题,但我不明白为什么第一个警告消失了,第二个警告仍在那里。

1 个答案:

答案 0 :(得分:1)

该问题已在项目的github问题列表中得到解答(请参阅问题#550)。